我不得不非常遺憾地承認，我對OWASP依賴檢查maven插件一無所知。 自2013年以來似乎已經存在。顯然GitHub上已有千個項目正在使用它。

過去，我手動檢查了依賴項，以根據漏洞數據庫對其進行檢查，或者在很多情況下，我只是完全不了解依賴項所具有的任何漏洞。

這篇文章的目的僅僅是–推薦OWASP依賴項檢查maven插件是幾乎每個maven項目中的必備工具。 （也有用于其他構建系統的依賴項檢查工具 ）。

添加插件時，它將生成報告。 最初，您可以手動升級有問題的依賴項（我在當前項目中升級了其中的兩個），或消除誤報（例如，cassandra庫被標記為易受攻擊，而實際的漏洞是Cassandra綁定了未經身份驗證的RMI端點，我已經通過堆棧設置解決了該問題，因此該庫不是問題）。

然后，您可以配置漏洞的閾值，并在出現新漏洞時使構建失敗-通過添加易受攻擊的依賴關系，或者在現有依賴關系中發現漏洞的情況下，構建失敗。

所有這些都顯示在示例頁面中 ，非常簡單。 我建議立即添加插件，這是必須的：

<plugin><groupId>org.owasp</groupId><artifactId>dependency-check-maven</artifactId><version>3.0.2</version><executions><execution><goals><goal>check</goal></goals></execution></executions> </plugin>

當然，不是所有的玫瑰。 使用reddit的人抱怨說，盡管該插件在本地緩存內容，但仍可能顯著降低構建速度。 因此，最好將其從常規構建中排除，并在CI系統和/或deploymenet管道中每晚運行。

現在，檢查依賴關系是否存在漏洞只是確保軟件安全的一個小方面，它不應該給您帶來錯誤的安全感（有點“我檢查了我的依賴關系，因此我的系統是安全的”謬論）。 但這是一個重要方面。 并且使該檢查自動化是巨大的收獲。

翻譯自: https://www.javacodegeeks.com/2017/12/owasp-dependency-check-maven-plugin-must.html

總結

以上是生活随笔為你收集整理的OWASP依赖性检查Maven插件–必须具备的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。